Миллионы рискуют: ошибка Google Play Core уже 7 месяцев сохраняется в ряде популярных приложений

Специалисты регулярно выявляют новые уязвимости в ПО, так что пользователям лучше быть начеку, а разработчикам — вовремя исправлять свои программы, ведь информация о них становится публичной. Но порой создатели приложений пренебрегают этой ответственностью, подвергая риску безопасность людей. Ещё в августе сообщалось об уязвимости, которая делала возможной локальные атаки и исполнение кода на устройствах Android, но до сих пор в популярном ПО ещё не закрыта эта дыра.

Специалисты Check Point Research Авиран Хазум (Aviran Hazum) и Джонатан Шимонович (Jonathan Shimonovich) сообщили об уязвимости Android CVE-2020-8913, которую Google закрыла ещё ​​в апреле этого года. По общей системе оценки уязвимостей (CVSS) она имеет высокие 8,8 из 10 баллов и затрагивает библиотеку Android Play Core 1.7.2 и более ранние версии. Среди приложений, которые по-прежнему используют эти уязвимые версии библиотеки, перечислены следующие (приводятся самые популярные для разных категорий):

  • социальные сети — Viber*;
  • путешествия — Booking*;
  • бизнес — Cisco Teams**;
  • карты и навигация — Yango Pro (таксометр) и Moovit**;
  • знакомства — Grindr**, OKCupid;
  • браузеры — Edge;
  • утилиты — Xrecorder и PowerDirector.

Все компании-разработчики были уведомлены об уязвимости, причём в ПО, помеченное звёздочками, уже внесены исправления (приложения с метками ** исправлены буквально накануне). Однако для обеспечения безопасности всем приложениям, использующим Play Core, необходимо обновиться до более свежей версии библиотеки — Google не может этого сделать.

В целом, очень плохо, что создателям столь популярного ПО потребовалась напоминать о необходимости добавить заплатку против серьёзной уязвимости спустя почти 7 месяцев с выпуска исправления и 3 месяцев после того, как информация о проблеме стала достоянием широкой общественности — то есть любой злоумышленник уже несколько месяцев мог воспользоваться этой дырой в безопасности.

Источник:

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *